Neapsaugotame serveryje buvo rasta 1,2 milijardo privačių duomenų įrašų

1.2 billion people affected by a data leak

Tie, kurie aktyviai domisi kibernetiniu saugumu, nebus labai nustebinti sužinoję, kad tyrėjai atskleidė atradę dar vieną plačiai atvertą serverį, kuriame buvo didžiulė asmeninės informacijos dalis. Šį kartą nuotėkio mastas visiškai pribloškia, tačiau dar labiau nuvilia tai, kad sužinosite, kas tiksliai atsitiko, pamatysite, koks neišvengiamas buvo šis įvykis.

Tyrėjai nesaugiame „Elasticsearch“ serveryje atranda 4 TB asmeninės informacijos

Spalio 16 d. Vinny Troia ir Bobas Diachenko suklupo ant „Elasticsearch“ serverio, kuris nebuvo apsaugotas slaptažodžiu ir buvo prieinamas visiems, kurie turėjo naršyklę ir žinojo, kur ieškoti. Šie du dalykai nėra naujiena. Tiesą sakant, Bobas Diachenko yra atsakingas už daugybės panašių nutekėjimų atskleidimą. Vis dėlto net jis buvo gana sukrėstas dėl paviešintų duomenų dydžio šiuo konkrečiu atveju.

Duomenų bazėje buvo didžiulė 4 TB, joje buvo didžiulės 4 milijardų sąskaitų. Dublikatų buvo nemažai, tačiau net juos pašalinę tyrėjai apžiūrėjo daugiau kaip 1,2 milijardo asmenų asmeninius įrašus. Indeksai duomenų bazėje nebuvo vienodi, o atskleidžiami duomenys įvairius įrašus skyrė. Apdoroję informaciją, ekspertai išsiaiškino, kad atvirame „Elasticsearch“ serveryje, be kita ko, buvo:

  • Daugiau nei 1 milijardas asmeninių el. Pašto adresų.
  • Daugiau nei 400 milijonų telefono numerių.
  • Daugiau nei 420 milijonų „LinkedIn“ URL.
  • Daugiau nei 1 milijardas „Facebook“ URL ir abonementų ID, taip pat kiti duomenys, susiję su vartotojų buvimu socialinėje žiniasklaidoje.

Duomenų bazėje nebuvo jokių kreditinių kortelių duomenų, socialinio draudimo numerių ar slaptažodžių, tačiau nukentėję asmenys vis tiek turėtų ieškoti asmens tapatybės vagystės ir sukčiavimo požymių. Diachenko ir „Troia“ pasidalino nutekėjusiais duomenimis su Troy Hunt, kuris juos įkėlė į įspėjimo apie pažeidimų duomenų bazę tarnybą Have I Been Pwned, o tai reiškia, kad galite ten nuvykti ir patikrinti, ar jus paveikė nuotėkis.

Nereikia nė sakyti, kad kai tik jie atrado informaciją, saugumo tyrinėtojai ėmėsi būtinų priemonių, kad ji būtų neprisijungusi. FTB buvo informuotas, tačiau prieš teisėsaugos institucijoms imantis veiksmų, duomenų bazę, matyt, panaikino jos savininkas. Neįmanoma pasakyti, kada duomenys pirmą kartą pasirodė „Elasticsearch“ serveryje ir kas juos pasiekė, kol buvo paviešinti.

Kas kaltas?

Kiekvienas duomenų bazės įrašas turėjo lauką, pažymėtą „šaltinis“, o vertė jame buvo „PDL“ arba „Oxy“. „PDL“ reiškia „People Data Labs“, o „Oxy“ - iš „Oxydata“. „People Data Labs“ ir „Oxydata“ yra dvi duomenų praturtinimo kompanijos, kurios rinko visus šiuos įrašus.

Duomenų praturtinimo įmonės verslas yra surinkti kuo daugiau viešai prieinamos informacijos apie jus ir sukurti išsamų profilį remiantis tuo, ką ji randa. Šis profilis kartu su milijonais kitų parduodamas visiems, norintiems sumokėti iš anksto nustatytą mokestį. „People Data Labs“ ir „Oxydata“ iš tikrųjų rinko informaciją. Vis dėlto tai nereiškia, kad jie tai nutekėjo.

Atradęs nutekėjimą, Vinny Troia pasidalino savo išvadomis su „Wired“ vadove Lily Hay Newman, kuri pranešė apie poveikį ir susisiekė su „People Data Labs“ bei „Oxydata“, norėdami paklausti, ką jie mano apie tai. Abi bendrovės pripažino, kad jos gali būti pagrindinis duomenų, įdėto į duomenų bazę, šaltinis, tačiau abi jos tvirtino, kad nepažeidė duomenų.

Tikėtina, kad „People Data Labs“ ir „Oxydata“ klientas sumokėjo už visą šią informaciją, sudėjo ją į vieną duomenų bazę ir paliko netinkamai sukonfigūruotame „Elasticsearch“ serveryje. Martynas Simanauskas, „Oxydata“ atstovas, „Wired“ pasakojo, kad jo įmonė su klientais yra sudariusi sutartis, kuriomis siekiama užtikrinti saugų duomenų tvarkymą. Tačiau net jis pripažino, kad kai klientas turi informacijos, daugiau ar mažiau nėra galimybių užkirsti kelią piktnaudžiavimui.

Tai buvo pagrindinis pokalbio taškas Troy Hunt tinklaraščio įraše, skirtame ekspozicijai. Deja, faktas yra tas, kad duomenų praturtinimo kompanijos, tokios kaip „People Data Labs“ ir „Oxydata“, toliau kaups mūsų asmeninę informaciją iš bet kur, kur ją galės rasti. Jie taip pat toliau jį pardavinės, o žmonės ir organizacijos, kurie už tai moka, neišvengiamai paliks jį bet kada ir tada. Nepaisant to, ar mums tai patinka, ar ne, mūsų duomenys yra renkami, tvarkomi ir kopijuojami daugybę kartų ir yra saugūs atjungiant eterneto kabelį ir vėl gyvenant kaip 1960 m., Daugiau ar mažiau nieko negalime padaryti. Atsižvelgiant į visa tai, faktas, kad šis konkretus nutekėjimas neįvyko greičiau, iš tikrųjų yra gana stebinantis.

Iki Duran m
November 27, 2019
News
Lietuvių
November 27, 2019
News

Populiarūs skelbimai

„Microsoft“ įspėja, kad valstybės remiami grėsmės veikėjai...

4 days atgal

Trojan Al11 kenkėjiškų programų aptikimas

11 months atgal

„Pinaview“ yra visapusiška reklaminių programų programa

10 months atgal

Iššokantieji langai „Į jūsų „iCloud is Being Hacked“ ir „Your...

7 months atgal

Kas yra Lucky Ransomware?

7 months atgal

„American Express – atnaujinkite paskyros informaciją“ el....

6 months atgal
Lietuvių
Įkeliama ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Namai

Products

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Palaikymas

Help Files DUK Downloads Inquiries & Support

Bendrovė

Apie mus Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Privatumo politika Slapukų politika Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

„Windows“ yra „Microsoft“ prekės ženklas, registruotas JAV ir kitose šalyse.
„Mac“, „iPhone“, „iPad“ ir „App Store“ yra „Apple Inc.“ prekių ženklai, registruoti JAV ir kitose šalyse.
„iOS“ yra registruotas „Cisco Systems, Inc.“ ir (arba) jos filialų JAV ir tam tikrose kitose šalyse prekės ženklas.
„Android“ ir „Google Play“ yra „Google LLC“ prekių ženklai.